瑞星卡卡安全论坛技术交流区入侵防御(HIPS) NTFS权限,组策略----------应用教程【图文】【090701更新】

«56789101112   11  /  12  页   跳转

NTFS权限,组策略----------应用教程【图文】【090701更新】

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

希望大家重视组策略和权限的应用,我们用好权限和组策略,就可以更好地配合杀毒软件,HIPS,防御未知病毒和已知病毒
这里我们以限制系统盘根目录的可执行文件为例子
当然了,如果你有U盘,移动硬盘,根据盘符添加“路径规则”就好了

HOME版,参看猫叔贴子http://bbs.ikaka.com/showtopic-8427987.aspx

开始之前,我们
打开注册表编辑器,展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建一个DOWRD,命名为Levels,值设成0x31000

这样我们就可以更好得使用组策略了(增加了几个限制类型)



要设置组策略,先了解下系统环境变量和通配符,以及优先级

环境变量
在C盘为系统盘的情况下:
%USERPROFILE%
表示 C:\Documents and Settings\当前用户名 这个文件夹
%ALLUSERSPROFILE%
表示 C:\Documents and Settings\All Users
%APPDATA%
表示 C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA%
表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%
表示C:\
%SYSTEMROOT%
表示 C:\WINDOWS
%WINDIR%
表示 C:\WINDOWS
%TEMP% 和 %TMP%
表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles%
表示 C:\Program Files
%CommonProgramFiles%
表示 C:\Program Files\Common Files

通配符
?
---------------表示任意单个字符
*
---------------任意个字符(包括0个),但不包括斜杠
**或*?---------------- 表示零个或多个含有反斜杠的字符,即包含子文件夹

这里是网上的例子:
*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。
C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。
*.vbs 匹配
具有此扩展名的任何应用程序。
C:\Application Files\*.* 匹配特定目录(Application Files)中的应用程序文件,但不包括Application Files的子目录

路径规则优先级:
1.绝对路径 > 通配符相对路径
如 C:\Windows\explorer.exe > *\Windows\explorer.exe 

2.文件型规则 > 目录型规则     
如若a.exe在Windows目录中,那么  a.exe > C:\Windows
注:如何区分文件规则和目录规则?不严格地说,其区分标志为字符“.”。
例如, *.* 就比 C:\WINDOWS 的优先级要高,如果要排除WINDOWS根目录下的程序,就需要这样做 C:\WINDOWS\*.*
而严格的说法是,只要规则中的字符能够匹配到文件名中,那么该规则就是文件型规则,否则为目录型规则。

3.环境变量 = 相应的实际路径 = 注册表键值路径
如 %ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

4.若两条规则路径等效,那么合成的结果是:从严处理,以最低的权限为准。
如“C:\Windows\explorer.exe 不受限的” + “C:\Windows\explorer.exe 不允许的” 结果为“C:\Windows\explorer.exe 不允许的

总的来说,就是路径越明显详细,该规则就越优先
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

回复: NTFS权限,组策略----------应用教程[图文]
使用NTPS权限    彻底免疫AUTORUN.INF
很长一段时间了,自从U盘病毒搬到了硬盘
很多病毒都会在我们磁盘的根目录生成AUTORUN.inf文件,指向病毒自己的程序,我们双击盘符就会运行病毒,就算病毒被杀了,我们还可能出现双击盘符打不开的现象

这是让人很郁闷的情况,那么我在这里拿AUTO病毒彻底免疫,讲一下NTFS权限的实用功能,

我们先看看,对于AUTORUN.INF免疫的历史,以及缺陷:
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】
该用户帖子内容已被屏蔽
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

LZ可否讲解一些有关防黑的知识
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

好帖子,很不错!仔细看看!

我所居兮,青埂之峰;我所游兮,鸿蒙太空。


gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

不错的帖,学习一下
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

学习下哈
我的博客:http://www.echodjb.com
                     

                          echodjb@gmail.com
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

好复杂啊。。。
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

佩服
gototop
 

回复:NTFS权限,组策略----------应用教程【图文】【090701更新】

好帖子
gototop
 
«56789101112   11  /  12  页   跳转
页面顶部
Powered by Discuz!NT